Privacy Desk

AI 기본법에 고영향 AI의 의무 중 하나로 '설명 방안 수립·시행'이 들어가 있다. AI가 왜 그런 판단을 내렸는지를 이용자에게 설명할 수 있어야 한다는 내용이다.개인정보 담당자로서 이 조항을 읽었을 때, 이미 비슷한 맥락을 개인정보보호법에서 다루고 있다는 생각이 들었다.완전 자동화된 의사결정과 설명 요구권개인정보보호법 개정 논의에서 완전 자동화 의사결정에 대한 설명 요구권과 거부권이 계속 거론되고 있다. AI가 사람의 권리·의무에 영향을 주는 결정을 내릴 때, 그 과정을 설명하고 이의를 제기할 수 있는 권리를 보장하는 방향이다.실무적으로는 "우리 서비스가 자동화 의사결정을 하는가"를 먼저 따져봐야 한다. 대출 심사, 채용 필터링, 개인화 추천 같은 기능이 해당될 수 있다.챗봇에서 설명 가능성이란pia..

요즘 사무실에서는 공식 허가 없이 AI 도구를 쓰는 사람이 많다. ChatGPT에 보고서를 붙여 넣거나, 외부 AI 서비스에 고객 데이터를 입력하거나, 개인 계정의 생성형 AI로 사내 문서를 요약하는 일이 일상이 됐다.IBM이 2026년 사이버 보안 전망에서 이걸 '섀도 AI(Shadow AI)'라고 불렀다. 10여 년 전의 섀도 IT와 비슷하지만, 파급력이 훨씬 크다는 평가다. AI 도구는 독점 알고리즘, 기밀 데이터, 전략적 의사결정을 직접 다루기 때문이다.개인정보 담당자 입장에서 보면섀도 AI 문제는 단순한 보안 이슈가 아니다. 개인정보 관점에서도 직접적인 위협이다.직원이 외부 AI 서비스에 고객 정보를 입력하면, 그 데이터는 어디로 가는가. 해당 서비스의 개인정보 처리방침은 어떻게 되어 있는가. ..

올해 개인정보보호위원회가 공식적으로 선언한 방향이 있다. "사후 제재 중심에서 사전 예방 중심으로." 2026년 예산도 그 방향으로 편성됐다. 침해·유출 예방과 보안 강화 예산이 전년 대비 늘었고, 조사·처벌보다 예방에 무게를 뒀다.그런데 이게 실무에서는 어떤 의미인지가 더 중요하다.'걸리면 제재'에서 '구조가 안 되면 문제'로사후 제재 중심 체계에서는 사고가 난 이후에 대응하면 됐다. 감사에서 지적받으면 고치고, 처분이 나오면 수용하는 방식이다.사전 예방 중심 체계는 다르다. 사고가 나기 전에 위험이 있는 구조 자체를 문제로 본다. 보유·파기 체계가 작동하는지, 접근권한 통제가 실제로 이루어지는지, 처리방침이 실제 운영과 일치하는지가 평가 기준이 된다.말하자면 서류가 아니라 실제 운영이 기준이 된다는 ..

2026년 1월 22일, 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」이 본격 시행됐다. EU에 이어 세계에서 두 번째로 포괄적인 AI 규제 체계를 갖춘 나라가 됐다는 얘기가 나왔다.그런데 개인정보 담당자 입장에서 "그래서 내가 뭘 해야 하지?"라는 질문이 먼저 든다.AI 기본법의 핵심은 '고영향 AI'다이 법에서 가장 주의 깊게 봐야 할 개념이 고영향 AI(High-Impact AI)다. 자율주행, 의료 진단, 금융 신용평가처럼 사람의 생명이나 기본권에 중대한 영향을 미치는 AI가 여기에 해당한다.고영향 AI 사업자에게는 투명성 확보, 안전성 확보, 영향 평가 등의 의무가 붙는다. 위험관리방안 수립, 이용자 보호 방안 마련, 그리고 이를 홈페이지에 게시하는 것까지 포함된다.챗봇이나 단순 정보 제..

처음 pia-privacy.com을 만들었을 때는 챗봇 한 페이지였다. 지금은 10개 기능이 된다. 처리방침 리뷰, 위험도 자가진단, 동의서·계약서 생성, 컴플라이언스 캘린더, PIA 체크리스트, 침해사례 DB, 업종별 가이드 등이다.이 과정에서 설계에 대해 몇 가지를 배웠다.기능을 추가할 때 가장 중요한 건 진입점이다10개 기능이 생기면 사용자가 어디서 시작해야 하는지 모른다. 처음에는 그냥 링크 목록을 페이지에 나열했다. 그런데 기능이 4개만 넘어가도 "뭐가 있는지"보다 "내가 뭘 해야 하는지"로 생각하는 게 더 자연스럽다는 걸 깨달았다.그래서 드롭다운 메뉴로 묶고, 모바일에서는 햄버거 메뉴로 숨겼다. 기능의 이름보다 "내가 지금 뭘 하려는가"에 맞게 레이블을 붙이는 게 중요했다.각 기능의 시스템 프..

pia-privacy.com은 서버가 없다. 백엔드 코드가 없고, 데이터베이스도 없다. HTML 파일 몇 개를 S3 버킷에 올리고, 버킷을 정적 웹사이트로 설정한 게 전부다.왜 이 구조를 선택했나운영 부담이 제일 컸다. EC2나 Lambda를 쓰면 관리해야 할 것들이 생긴다. 보안 패치, 모니터링, 비용 관리. 개인 프로젝트에서 이걸 계속 신경 쓰고 싶지 않았다.S3 정적 호스팅은 파일을 올리면 끝난다. SSL도 CloudFront를 붙이면 해결된다. 비용은 거의 없다.실제 구성HTML 파일이 직접 fetch()로 Anthropic API를 호출한다. 중간에 아무것도 없다.사용자 → 브라우저 → Anthropic API장점은 단순함이다. 단점은 API 키가 클라이언트 코드에 들어간다는 것이다. 이 부분은..

pia-privacy.com을 만들면서 기술적인 고민보다 더 많이 한 게 있다. "AI가 법령 해석을 얼마나 믿을 수 있는가"라는 질문이다.AI는 법령을 '검색'하지 않는다가장 먼저 정리해야 했던 오해가 이거다. Claude나 GPT 같은 모델은 학습 데이터 기준으로 답한다. 최신 개정 내용이나 최근 고시는 반영이 안 될 수 있다.그래서 챗봇 UI에 항상 명시했다. "이 답변은 법적 효력이 없으며, 최신 법령 원문을 반드시 확인하세요."이게 사용자 기만이 아니라, 오히려 이 도구를 제대로 쓰게 만드는 장치라고 생각했다.잘 쓰이는 기능과 그렇지 않은 기능이 갈렸다처음에는 단순 챗봇만 만들었다. 그런데 쓰다 보니 반복해서 필요한 맥락이 있었다.동의서 초안 생성, 처리방침 리뷰, 위험도 자가진단 같은 기능은 ..

정보보호 업무를 하다 보면 반복되는 질문들이 있다."이 항목 수집해도 되나요?" "동의서 양식 어떻게 써야 하죠?" "개인정보 처리방침에 이거 넣어야 하나요?"매번 법령을 찾고 해석해서 답하는 일이 쌓이다 보니, 이걸 자동화할 수 없을까 하는 생각이 생겼다. 그래서 만든 게 pia-privacy.com이다.만들게 된 배경개인정보보호법은 조문도 많고, 고시·지침·가이드라인이 따로 흩어져 있다. 실무자 입장에서는 조문 하나를 제대로 이해하려면 시행령을 같이 봐야 하고, 개인정보위 해설자료까지 찾아봐야 하는 경우가 많다.그 과정에서 "내가 했던 해석을 다른 사람도 쉽게 할 수 있게 구조화하면 어떨까"라는 생각이 출발점이었다.기술 선택: 브라우저에서 바로 API 호출처음에는 백엔드 서버를 구성할까 생각했다. 그..